回帖奖励 400 S豆 回复本帖可获得 20 S豆奖励! 每人限 1 次(中奖概率 70%)
【技术圆桌】第10期:“深信服技术专家”拍了拍你,邀你畅聊网络虚拟化技术之VXLAN >>
  

不懂就问 9355人觉得有帮助

技术圆桌第10期.png

大家好,我是社区技术顾问——不懂就问(深信服原厂云计算解决方案专家),主要从事虚拟化、系统、网络等方面工作,受管理员小姐姐所邀参与社区【技术圆桌】话题发起人活动。本次活动和大家分享网络虚拟化技术中经典的VXLAN技术。欢迎对云计算、虚拟化技术感兴趣的朋友回帖交流,一起学习,一起温故而知新,一起不懂就问!

参与有奖话题讨论请直接下拉至文章底部

3个网络环境场景问题,看看你是否都能答上来?

↓↓↓

本期技术圆桌分为三个模块:
模块一:知识普及;介绍VXLAN技术发展的背景与技术原理;
模块二:圆桌讨论;在了解VXLAN的技术背景与原理的基础上,讨论VXLAN技术在深信服超融合平台中实际应用,请问下面虚拟机之间通信是否经过vxlan平面?
模块三:圆桌互动;你认为在vxlan技术应用方面,深信服超融合平台有何优点与缺点?



【话题背景概述】
一、网络虚拟化与VXLAN技术发展背景:
318215ef9442de1539.png
在传统数据中心云化的过程中,传统的网络架构无法满足云数据中心的需求,这对网络提出了新的挑战。
  • 大容量MAC和ARP表项需求:

服务器虚拟化需要接入交换机支持更大MAC表项,网关设备支持更大的ARP表项的需求也越来越大
  • 东西向流量安全性:

传统网络对东西向流量的可见性及安全性缺乏考虑,缺少一个灵活完整的安全机制
  • 大二层网络技术:

1. STP、堆叠、TRILL等技术的局限性
2. 4K的VLAN资源远远不能满足大规模数据中心需求
3. 如何在实现虚拟机动态迁移的基础上进行通信
  • 虚拟网络管理需求

1. IT资源管理分散
2. 资源灵活、快速部署

二、vxlan技术原理
VxLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网):一种网络虚似化技术,是对VLAN的一种扩展。使用三层UDP协议封装二层报文,实现虚拟网络隧道。深信服超融合平台上的VxLAN口就是用于VxLAN封装报文传输的网口(也称数据通信口)其主要功能是用于集群内部的数据传输。
VXLAN报文封装格式:原始报文在封装过程中先被添加一个VXLAN帧头,再被封装在UDP报头中,并使用承载网络的IP、MAC地址作为外层头进行封装。
696445ef944602a786.png
VXLAN报文格式说明:
  • VXLAN header(VXLAN头封装)

1. VXLAN Flags:标记位,8比特,取值为00001000。
2. VNI:VXLAN网络标识,用于区分VXLAN段,由24比特组成,支持多达16M的隔离容量。不同VNI的设备之间不能直接进行二层相互通信。
3. Reserved:保留未用,分别由24比特和8比特组成,设置为0。
  • Outer UDP header(外层UDP头封装)

1. DestPort:目的UDP端口号,设置为4789。
2. Source Port:源UDP端口号,根据内层以太报文头通过哈希算法计算后的值。
  • Outer IP header(外层IP头封装)

1. IP SA:源IP地址,VXLAN隧道源端VTEP的IP地址。
2. IP DA:目的IP地址,VXLAN隧道目的端VTEP的IP地址。
  • Outer Ethernet header(外层Ethernet头封装)

1. MAC DA:目的MAC地址,为到达目的VTEP的路径上,下一跳设备的MAC地址。
2. MAC SA:源MAC地址,发送报文的源端VTEP的MAC地址。
3. 802.1Q Tag:可选字段,该字段为报文中携带的VLAN Tag。
4. Ethernet Type:以太报文类型,IP协议报文中该字段取值为0x0800。
原理示意图:
459945ef9447f9a1f8.jpg
VXLAN报文:
592725ef9449219395.png
205695ef944a29360b.png



↓↓↓

【本期圆桌话题讨论】



话题一:现有三主机集群,如图,已画出VXLAN与业务交换机。
906075ef944baa8141.png
场景1:
有两台虚拟机vm01和vm02,分别运行在主机A和主机B上。两台虚拟机IP为同网段地址,且网卡均连接在名为172的虚拟交换机上。虚拟交换机未连接其他设备。

请问:此时两台虚拟机之间通信是走业务平面还是vxlan平面?
329775ef944ce9936a.jpg
场景2:
有两台虚拟机vm01和vm02,分别运行在主机A和主机B上。两台虚拟机IP为同网段地址,且网卡均连接在名为172的虚拟交换机上。虚拟交换机上行连接物理出口的端口组。

请问:此时两台虚拟机之间通信是走业务平面还是vxlan平面?
840475ef944e6edd6a.png
场景3:
有两台虚拟机vm01和vm02,分别运行在主机A和主机B上。两台虚拟机IP为同网段地址,且网卡均连接在名为172的虚拟交换机上。虚拟交换机上行连接vAF,对两台虚拟机进行防护。此时vAF运行在主机C上。

请问:此时两台虚拟机的流量是如何经过vAF的?走vxlan平面还是业务平面?此时两台虚拟机之间通信是通过vxlan平面还是业务平面呢?
298235ef944fc61d17.png

话题二:请结合你的工作经历谈一谈深信服超融合在网络虚拟化或vxlan技术方面,有什么优缺点?
例:
优点:所画即所得,使用方便。
缺点:设备太多时,虚拟拓扑很难管理。



【讨论时间】
2020年6月29日---2020年7月9日 23:59


【奖品设置】
1、基础回帖奖:凡有效回帖者可获得20S豆奖励;(回帖内容与话题相关且为个人原创)
2、优秀回复奖:凡回复的内容,被管理员设置为优秀回复即可获得100S豆打赏
3、参与幸运奖:本帖设置1000S豆回帖奖励,每次回复有机会获得20S豆;
4、趣味竞猜奖:为增加大家与楼主的亲密值,本着学习、娱乐两手抓的态度,特增设此奖,大家可以猜测楼主的生肖属相,第一个猜对者奖励666S豆(注:同一ID只能猜测一次);
5、最佳回复奖:活动结束后,由话题发起人评选出1位最佳回复者,赠送热门学习书籍网络虚拟化技术详解 NFV与SDN》一本;
14c350c37be86bd0.jpg
【回帖规则】
1、回复须为个人原创且与话题相关,如回复无意义内容,管理员将判定为灌水,进行删除。
2、如恶意抄袭,以不良手段获取礼品行为,一经发现取消其获奖资格,并对账号进行1月以上禁言警示。
3、可盖楼回复但每个id回帖仅奖励一次,其他奖励可叠加,活动结束后将进行统一派发。





↓↓↓
欢迎大家回帖交流
如有网络虚拟化技术相关的问题,欢迎留言提问,零距离对话深信服云计算解决方案专家

dan 发表于 2020-6-30 10:47
  
话题一:
【场景1】vxlan平面(虚拟交换机都没有连接其他设备,流量只能在虚拟交换机里跑)
【场景2】经过vxlan平面再到业务平面
【场景3】走vxlan平面到主机C的vaf上,再从主机C的vaf到业务平面。

话题二:深信服超融合产品,优点是网络更安全,可以加入vaf,vac等,还可以所画即所得,部署设备更方便,还有就是采用分布式存储,可以不用另外购置存储。
YxY 发表于 2020-6-30 18:31
  
话题一:
【场景1】vxlan
【场景2】业务平面,直连物理出口的虚拟交换机防止环路的做法。
【场景3】vxlan

话题二:
优点:所画即所得,使用方便。还能看流量,炒鸡方便。
缺点:设备太多时,虚拟拓扑很难管理。
willliam 发表于 2020-6-30 21:37
  
【场景1】vxlan平面
【场景2】经过vxlan平面再到业务平面
【场景3】走vxlan平面到主机C的vaf上,再从主机C的vaf到业务平面。
Lucas_Qiu 发表于 2020-6-30 23:00
  
场景一:
问题(1)两台虚拟机之间通信是走vxlan平面
理由:acloud通过分布式交换机实现跨主机之间的虚拟机通信,vm01和vm02都连接在vSwitch,也就是vtep1和vtep2都在vSwitch,并且vSwitch属于vxlan平面。所以是vxlan平面。

场景二:
问题(1)两台虚拟机之间通信是从vxlan平面
理由:同一网段下的虚拟机,不需要经过物理出口进行通信;由集群主机的vxlan口通信。

场景三:
问题(1)流量如何经过AFvm01(主机A),vm02(主机B)通过分布式交换机的vxlan隧道转发数据到vAF(主机C)
问题(2)走vxlan平面
问题(3)同一网段下的虚拟机,不需要经过物理出口进行通信;由集群主机的vxlan口通信。vxlan平面

第一次学习,抱个大腿先
   
我猜楼主属相是汪汪大队长,哈哈哈;
静态路由 发表于 2020-7-1 15:46
  

回帖奖励 +20 S豆

本帖最后由 静态路由 于 2020-7-1 17:02 编辑

楼主说的vxlan交换机是指的具有vxlan功能的交换机吗,还是连接租户网的普通交换机呢,不太理解,所以话题一不太好回答。

最近在学习openstack相关的知识,深信服的超融合不知道是不是也是基于openstack。
对于话题二、想请教下openstack上关于网络的疑问。
       在模拟实验的时候,发现网络架构上基本上有三种模式,VLAN\VXLAN\GRE。对于vlan模式来隔离租户网络,比如外部交换机上用100-200这个vlan区间。为什么在neutron调用ovs 的时候,内部租户的vlan并不是100-200,而是内部进行了转换呢?(看到ovs流表也进行了替换)一直不太理解为什么要这么做,直接把外部vlan透传进去不行吗,替换的意义在哪里呢?
520595efc3f245d452.png


PS~我猜楼主属马的
adds 发表于 2020-7-1 20:46
  

回帖奖励 +20 S豆

话题一:
场景1:此时两台虚拟机之间通信是走vxlan平面。
场景2:此时两台虚拟机之间通信是走vxlan平面。
场景3:如果vAF不是分布式防火墙,则两台虚拟机的流量不经过vAF。走vxlan平面。此时两台虚拟机之间是通过vxlan平面。
如果vAF是分布式防火墙,则两台虚拟机的流量经过vAF。走vxlan平面。此时两台虚拟机之间通信是通过vxlan平面。


楼主的内容成功的吸引了我,问题的答案是不是全都是一样的呢?
水之蓝色 发表于 2020-7-1 21:33
  
不懂啊!先搞清楚什么是东西流量吧。
以下是百度的资料,先学习下吧
南北流量和东西流量——它们是什么意思?
在Service Mesh微服务架构中,我们常常会听到东西流量和南北流量两个术语。
南北流量(NORTH-SOUTH traffic)和东西流量(EAST-WEST traffic)是数据中心环境中的网络流量模式。下面我们通过一个例子来理解这两个术语。
假设我们尝试通过浏览器访问某些Web应用。Web应用部署在位于某个数据中心的应用服务器中。在多层体系结构中,典型的数据中心不仅包含应用服务器,还包含其他服务器,如负载均衡器、数据库等,以及路由器和交换机等网络组件。假设应用服务器是负载均衡器的前端。
当我们访问web应用时,会发生以下类型的网络流量:
•客户端(位于数据中心一侧的浏览器)与负载均衡器(位于数据中心)之间的网络流量
•负载均衡器、应用服务器、数据库等之间的网络流量,它们都位于数据中心。
南北流量
在这个例子中,前者即即客户端和服务器之间的流量被称为南北流量。简而言之,南北流量是server-client流量。
东西流量
第二种流量即不同服务器之间的流量与数据中心或不同数据中心之间的网络流被称为东西流量。简而言之,东西流量是server-server流量。
当下,东西流量远超南北流量,尤其是在当今的大数据生态系统中,比如Hadoop生态系统(大量server驻留在数据中心中,用map reduce处理),server-server流量远大于server-client流量。
大家可能会好奇,东西南北,为什么这么命名。
该命名来自于绘制典型network diagrams的习惯。在图表中,通常核心网络组件绘制在顶部(NORTH),客户端绘制在底部(SOUTH),而数据中心内的不同服务器水平(EAST-WEST)绘制。
清风慕竹 发表于 2020-6-29 11:28
  
我先占个位置,我猜楼主是属猴的,文章晚上回去慢慢看,到时候不会的在@大佬。
Jean_Zhj 发表于 2020-6-29 13:59
  
得跟楼主好好学习下VXLAN网络虚拟化技术,
哥丶珍藏版 发表于 2020-6-29 21:03
  
我猜楼主属羊的
一口老酒 发表于 2020-6-30 09:10
  

回帖奖励 +20 S豆

帖子很长还没看,但是大家的评论看懂了,主题就是猜楼主的属相
哒哒哒 发表于 2020-6-30 10:30
  
帖子已转发新人学习。这么好的帖子为什么大家都在猜属相。既然大家都猜了那我也猜下,我觉得楼主可能属猫
新手981388 发表于 2020-6-30 15:43
  

回帖奖励 +20 S豆

我猜楼主属蛇的,
VXLAN  大网络,统一支持。
新手102389 发表于 2020-6-30 18:22
  

回帖奖励 +20 S豆

新人还不太懂,直接盲猜楼主属相,就猜我名字中的“龙”吧!
×
有话想说?点这里!
可评论、可发帖
发表新帖

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人